ビュー:

[サービスアカウントの誤設定] と、このリスクを軽減する方法について説明します。

サービスアカウントの管理が不適切な場合、システムや機密データへの侵入口が攻撃者に提供される可能性があるため、セキュリティリスクが発生する可能性があります。このリスクを軽減するには、サービスアカウントに付与する権限を、指定されたタスクに必要な権限のみに制限することが重要です。サービスアカウントにグローバル管理者アクセス権などの昇格された権限が必要な場合は、このレベルのアクセス権の理由を評価し、可能な限り権限を最小限に抑えることをお勧めします。
高権限権限の例:
  • Application.ReadWrite.All
  • Directory.ReadWrite.All
  • Files.ReadWrite.All
  • MailboxSettings.ReadWrite
  • User.ReadWrite.All
注意
注意
サービスアカウントには、それを管理するユーザアカウントよりも高い権限を付与しないでください。これは、サービスアカウントが通常のアカウントで管理されている場合に発生することがあります。 Active Directoryで、通常のアカウントとは、Administrators、Domain Admins、またはEnterprise Adminsのメンバではないアカウントのことです。
ベストプラクティスは次のとおりです。
  • サービスアカウント所有者の権限は、管理するサービスアカウント以上の権限が必要です。
  • サービス アカウントが機能するために必要な最小限の権限のみを使用してください。詳細については、最小特権の原則に関するMicrosoftのガイダンスを参照してください。
  • サービスアカウントに特定の権限が必要な場合は、通常のアカウントの権限を昇格させるか、別の所有者を割り当てることを検討してください。
注意
注意
「サービスアカウントの設定ミス」リスクは除外リストに追加できません。